Update und Patchmanagement

WSUS, der Nachfolger von SUS wurde am 6. Juni 2005 freigegeben.
Siehe auch WSUS.

Windows Update macht einen recht guten Job. aber manchmal klemmt es auch. dann hilft eventuell:
MicrosoftFixit50202 and the problem is für now solved.
http://go.microsoft.com/?linkid=9665683
KB971058 How do I reset Windows Update components?

Manchmal reicht es auch den Windows Update Dienst zu stoppen, das Verzeichnis C:\Windows\SoftwareDistribution zu leeren und dann Windows Update wieder zu starten.

Sie betreiben Windows Server, Windows Workstations, Exchange, Office und viele anderen Systeme und täglich erfahren Sie, dass Software Fehler hat. Nicht dass Sie das erschrecken würde oder ich ihnen etwas völlig neues erzähle, aber die Frage der Verteilung und Kontrolle von Updates müssen Sie dennoch lösen.

Nicht erst seit "Windows Update" ist jedem bekannt, dass auch ein Betriebssystem ab und an einen Patch benötigt. Auch die Probleme von Exchange 5.5 mit Outlook 2003 und andere Dinge zeigen, dass Sie sich langsam zu einem Patch-Management durchringen sollten. Und dieses fängt beim Betriebssystem erst an !!.

Wie wichtig aktuelle Patches sind, zeigt auch die Top20 des SANS unter http://www.sans.org/top20. Schauen wir doch mal, welche Optionen wir hier haben:

Was ist zu patchen ?

  • Security (Windows Betriebssystem Sicherheitslöcher)
    Damit sind Patches für bekannte sicherheitskritische Programme gemeint, die einem Angreifer das Leben einfacher machen. Darunter fallen auch Servicepacks. Oftmals sind auch kritische Updates für den Internet Explorer dabei, obwohl dieser ja eigentlich nicht zum Betriebssystem gehört.
  • Betriebssystem (Windows Komponente)
    Zusätzlich verteilt Microsoft über die Windows Update Seite immer mal wieder Update für Media Player aber auch Dinge wie den Movie Player, .NET-Framework, MSN müssenger und andere Zusatzprogramme, die nicht direkt was mit Sicherheitslücken zu tun haben.
  • Treiber
    Manchmal bietet ihnen Windows Update auch aktuellere Treiber für ihr Betriebssystem an, z.B. für Netzwerkkarten oder Grafikkarten
  • Desktop Anwendungen
    Nicht über Windows Update, sondern über Office Update finden sie alle Update für Microsoft Office. Vermutlich hat es rechtliche Gründe, dass Microsoft diese Funktion nicht in "Windows Update" mit integriert hat. Man erinnere sich an die Streitigkeiten vor einigen Jahren. Das ist sicher einer der negativen Auswirkungen, wenn ein Hersteller dinge trennen muss, die zusammen viel einfacher sein könnten.
  • Server Anwendungen
    Auf Windows Servern hingegen sind Exchange, SQL und andere Dienste installiert, die natürlich auch nicht "fehlerfrei" sind und ab und an ein Update benötigen.
  • Drittanwendungen
    Da Microsoft nicht der einzige Hersteller von guter Software ist, finden sich auf ihrem Server auch solche Programme, für die es eigene Wege der Aktualisierung gibt.

Egal wie sie es drehen, sie müssen sich Gedanken machen wie Sie Informationen über notwendige Updates erhalten, diese dann herunterladen und auf die Systeme verteilen, auf denen diese Update erforderlich sind. Dabei ist Rücksicht auf die Sprache, die Reihenfolge und eventuelle Fremdprodukte zu nehmen.

Womit kann ich das tun ?

Um die Updates auf Ihr System zu bringen, gibt es gleich mehrere Wege, die leider nicht direkt vergleichbar sind und auch nicht alles erledigen:

  • Windows Update Webseite
    Gehen Sie einfach auf http://windowsupdate.Microsoft.com, laden das ActiveX Control und sie können die Update in der richtigen Reihenfolge installieren. Wunderbar für Privatanwender aber ungeeignet für Firmen. Jeder PC würde die Daten selbst herunter laden, Sie haben keine Kontrolle darüber welcher PC wie aktuell ist und die Anwender haben sicher nicht die Zeit für "so was". Und bei Update für Office, Exchange oder SQL hilft es ihnen ebenso wenige weiter wie bei der Kontrolle ihrer Server
  • Windows Update Webseite - Katalog
    Auf der gleichen Webseite können Sie die Patches auch "einzeln" herunter laden und dann von Hand intern verteilen. Nett gemeint, nur hilft ihnen die Webseite weder bei der Installation noch der Reihenfolge. Auch gibt es kein Automatismus, um die Patches automatisch in einer Verzeichnis zu spiegeln
  • Windows Update Dienst
    Seit Windows 2000SP3 gibt es den kleinen Dienst, der selbst bei Microsoft "nachschaut" und über Updates informiert. Er kann diese sogar alleine herunter laden und sogar nach Zeitplan installieren. für PCs ist das nett aber mit viel Internetverkehr verbunden. Eine Kontrolle fehlt und für ihre Server möchten Sie sicher keine automatischen Neustarts. Leider hinterlässt sich der Dienst weder im Eventlog noch im Performance Counter, so dass er nicht mal als Wachhund dienen kann. Ich lauf nicht jeden Tag zu jedem Server, um auf das kleine Icon in der Taskleiste zu schauen. Sie etwa ?
  • Windows Update Dienst mit SUS
    Damit die Verteilung nicht aus dem Internet erfolgt, gibt es seit einiger Zeit den SUS (Software Update Service). Kostenfrei von Microsoft holt sich dieser Dienst alle "critical" Updates (also keine Treiber etc.) und stellt diese Intern bereit. Über eine Gruppenrichtlinie kann man wunderbar auch alle PCs anweisen, von diesem Server die freigegebenen Update zu beziehen.
    Leider kann man mit SUS keine Updates "forcieren" und die Auswertefunktionen sind sehr gering. Auch dass der Windows Update Client keine Infos per SNMP, SMTP, Perfmon oder Eventlog meldet ist ungenügend.
  • WSUS - der Nachfolger von SUS
    Im Juni 2005 hat Microsoft den Nachfolger WSUS veröffentlich, der SUS ablöst und nun nicht nur Windows, sondern auch Exchange, SQL etc. patchen kann und auch ein besseres Reporting erlaubt.
  • MBSA und HFNETCHK
    Der Microsoft Baseline Security Analyser ist mehr als nur ein "Patchprüfer". MBSA prüft ihr komplettes System nach bestimmten Vorgaben. Es erkennt Benutzer ohne Kennworte, zuviele Administratoren und neben fehlenden Windows Patches prüft MBSA auch Office, Exchange und SQL-Server auf ihre Aktualität. Das ganze funktioniert sogar "netzwerkweit", solange die PCs eingeschaltet und Sie dort Administrator sind. Leider lädt MBSA keine Patches herunter und noch weniger kann es Patche und Update verteilen. Schade eigentlich.
  • SMS mit SUS-Erweiterung
    Wer einen Microsoft Systems Management Server sein Eigen nennt, kann mit dem optionalen AddOn SUS für SMS elegant aus der Management Konsole heraus Updates herunterladen und über SMS verteilen. Leider hat nicht jeder SMS.
  • UpdateExpert, HFNetChk und andere
    Daher gibt es genug Platz für Dritthersteller, die selbständig eigene Datenbanken und Programme pflegen. Die bekanntesten sind sicherlich HFNETCHK von Shavlik  (Heute noch Teil von MBSA) und UpdateExpert. Diese Programme sind keine vollständige Softwareverteilung sondern versprechen eine Verteilung von Updates und Patches mittels einem zentralen Download der Update und einer Patchdatenbank des Herstellers. Oftmals muss der Administrator diese Programm aktiv ausführen und bedienen. Ausgeschaltete Systeme können meist nicht gescannt werden und Update können nicht in einer Art Warteschlange hinterlegt werden.
  • Windows Update Services
    Als Nachfolger von SUS wird Microsoft Windows Update Services veröffentlichen. Noch ist nicht so viel bekannt, was es da geben wird.
    http://www.Microsoft.com/windowsserversystem/sus/wUSBeta.mspx
    http://www.Microsoft.com/wus
  • ????
    Kann das alles sein ? Am Ende dieser Seite finden Sie ein paar Ideen, die aber noch nicht umgesetzt sind.

Patch Matrix

Die Leser der Seite Exchange Installation Matrix oder Internetanbindung mit Exchange wissen nun schon was kommt: Eine kleine Tabelle, die schnell einen Überblick für die verschiedenen Dinge geben soll. Ich erhebe keinen Anspruch auf Vollständigkeit:

  • A = automatisiert möglich
  • M = Manuell anstoßen
  • I = Information
  • SMS = Funktion von SMS, keine Funktion von Windows Update
  • = nicht möglich
  • S = Nur Scannen und Fehlen anzeigen
  • leer = keine gesicherten Angaben dazu

Bedingt durch die laufenden Entwicklungen kann es sein, dass die Angaben nicht mehr korrekt sind.

Software Security OS Treiber Exchange
SQL etc.
Office 3rd Party

Windows Update Web

ManuellM

ManuellM

ManuellM

Nein

Nein

Nein

Windows Update Katalog

ManuellM

ManuellM

Nein

Nein

Nein

Nein

Windows Update Dienst

AutomatischA

Nein

Nein

Nein

Nein

Nein

Windows Update + SUS

AutomatischA

Nein

Nein

Nein

Nein

Nein

MBSA, HFNETCHK

S

S

S

S

S

Nein

SMS + SUS AddOn

AutomatischA

AutomatischA

SMS OnlySMS

SMS OnlySMS

SMS OnlySMS

SMS OnlySMS

update Expert

ManuellA I M

ManuellA I M

ManuellA I M

ManuellA I M

ManuellA I M

ManuellA I M

???? Wunsch

A I M

A I M

 

I

A I M

A I M

WUS (Windows Update Server)

AutomatischA

AutomatischA

AutomatischA

AutomatischA

?

?

Heise Offline Update

AutomatischA

AutomatischA

Nein

Nein

Nein

Nein

Wie sie bereits sehen, geht mit den kostenfreien Bordmitteln von Windows (Windows Update Webseite, Windows Update Dienst, SUS) nicht allzu viel, so dass Alternativen gefragt sind. Dazu gibt es dann komplette Softwareverteillösungen wie SMS, NetInstall, LanDesk und andere Produkte, die zum Teil den Administrator beim Download und Verteilen der Updates unterstützen

Weiterhin gibt es Programme wie UpdateExpert, HFNetChk und andere, deren Fokus allein auf dem Verteilen von Updates liegt, die günstiger sind, aber keine klassische Softwareverteilung anderer Produkte erlauben.

Windows Update Client mit SUS

Das Dilemma des Windows Update Clients wird ersichtlich, wenn man abhängig von den Einstellungen der Gruppenrichtlinien erkennt, wie die Patches verteilt werden.

 

Modus 2

Modus 3

Modus 4

Wer ist angemeldet?
A=Admin, B=Benutzer, N=Niemand

Neue Updates suchen

Trayicon vor Download

 

 

 

 

 

 

 

 

Trayicon nach Download

 

 

 

 

 

 

Einzelne Updates Ablehnen

 

 

 

 

 

 

 

Automatischer Download

 

 

 

Automatische Installation

 

 

 

 

 

 

  • Angemeldet als Administrator
  • Angemeldet als Benutzer
  • Computer eingeschaltet ohne interaktive Anmeldung

Die automatische Installation erfolgt nur im Modus 4 inklusive Neustart. für Arbeitsplätze ist dies tolerierbar aber nicht für Server. Allerdings kann nur der Administrator anstehende Updates installieren. Ein normaler Anwender kann keine Updates installieren.

Windows Server Update Services - WSUS

Microsoft SUS 1.1 ist schon einigen Monate alt und der Erscheinungstermin von SUS 2.0 hat sich Monat für Monat raus geschoben. Erst im Februar 2004 gab es erste Anzeichen, dass sich auch hier etwas tut. Mitte März 2004 wurde auf http://www.Microsoft.com/wus dann der baldige Release von MUS bekannt gegeben um einige Wochen später wieder gestoppt zu werden. Erst im November 2004 wurde dann eine öffentliche Betaphase für WUS gestartet die dann am 7 Juni 2005 in der Freigabe endete.

Die Seite WSUS beschreibt die Details.

Patchen ohne WSUS = WSUS Offline Update

Mehrfach haben Sie schon das "???" Zeichen gesehen und sich gewundert, was nun kommt. Vermutlich Sie sind genauso darüber betrübt, dass Microsoft keine brauchbaren Updatewege für mehrere Einzelpersonen als CD oder zum Download von Patchpaketen bereit stellt. Viele Personen haben mehrere PCs oder möchten einfach auf einem PC mit DSL die Patches saugen und mit einer CD auf anderen PCs installieren.

  • So hat Microsoft im Oktober 2003 und auf der CeBIT2004 eine CD verteilt, auf der sehr viele Update samt einem Installationsprogramm sind. Leider ist so eine CD aber immer schnell veraltet. Einen Weg diese Aktuell zu halten und sich immer mal wieder selbst zu brennen gibt es aber nicht
  • Auch der Heise Verlag hatte einen Artikel, in dem im wesentlichen ein Batchfile die richtigen Updates installiert hat. Netter Ansatz aber nicht flexibel genug. In der Ausgabe 13/2004 gab es eine neue Auflage mit dynamischen Download von der Microsoft Seite. Ganz perfekt war das aber doch noch nicht.

Für den Einsatz eines WSUS brauchen Sie einen Server und entsprechende Clients. Welche Lösung gibt es aber für Systeme, die nicht an einem WSUS-Server angebunden werden können wie z.B.:

  • Einzelplatz PCs zuhause ohne DSL
  • neu installierte Systeme ohne Wartezeit
  • virtuelle Maschinen ohne Internetverbindung
  • Server in abgeschotteten Netzwerk
  • Server, die ungepatched gar nicht erst an das Netzwerk dürfen
  • Netzwerke ohne WSUS ?

Wer mit seinem PC das Internet erreichen kann, kann über die Webseite http://windowsupdate.microsoft.com/ natürlich alle Updates erhalten. Aber bei einem frisch installierten Server betragen die erforderlichen Downloads schon mehrer 100 MByte. Nicht jeder hat eine DSL-Verbindung oder möchte solange warten. Und es eine menge Handarbeit.

Hier hat nun die Zeitschrift c't des Heise Verlag mit dem Projekt "Offline Update" einen wichtigen Schritt voran getan. Statt der früher genutzten statischen Batchfiles gibt es nun eine fast automatische Lösung.

  • 1. Schritt: Download
    Laden Sie sich die Software bei Heise herunter und entpacken Sie das Archiv in ein leeres Verzeichnis. Die Festplatte sollte schon 5 GB freien Platz für die später herunter geladenen Patches haben.

http://www.heise.de/ct/ftp/projekte/offlineupdate/
http://www.wsusoffline.net/

  • 2. Schritt: Download der Update
    Starten Sie das Programm "DownloadStarterGuI.exe" um die gewünschten Updates für die Zielsysteme herunter zu laden.

    Das Programm holt sich dann per WGET die XML-Dateien von Microsoft. Holt von dort die Liste der erforderlichen Updates ausgehend von der "originalCD" (also SP0 Level) und lädt dann alle Updates in eine Verzeichnisstruktur. Das Programm können Sie immer wieder aufrufen. Es holt dann immer nur die Updates.
    Das Programm erstellt optional ISO-Images zum Brennen (man kann aber auch einfach das unterverzeichnis "client" brennen oder das Verzeichnis über einen USB-Stick, USB-Disk o.ä. mitführen.
  • Zielsystem patchen mit "UpdatestarterGuI.exe"
    Zum Update des Zielsystems starten Sie einfach die EXE im CLIENT Verzeichnis oder legen die gebrannte CD/DVD ein, welche bei aktiviertem Autorun sogar sofort startet.

    Er installiert nun alle fehlenden Patches, bootet bei Bedarf auch mehrfach, so dass das System am Ende ziemlich aktuell ist.

Allerdings gibt es beim Einsatz natürlich Einschränkungen. Es werden im wesentlichen die Windows Updates über diesen Weg verteilt. Ein Update anderer Komponenten (z.B. Office, Exchange etc.), welche Microsoft mittlerweile über "Microsoft Update" ebenfalls mit verteilt, ist auf diesem Weg (noch) nicht möglich.

Weitere Links

Alternative kostenfreie Patchtools

Viele andere Administratoren haben sich überlegt, wie Sie Patches einfacher verteilen können. Hier einige der interessantesten Links:

Dritthersteller